Gepubliceerd: Dinsdag 17 maart 2009
Auteur: Brenno de Winter
UWV en Achmea Vitale verzuimen hun servers fysiek te beschermen. Minister Donner moet zich verantwoorden in de Tweede Kamer.
De datacenters van UWV en Achmea Vitalis zijn onvoldoende beschermd. De systemen staan in een gedeelde serverruimte en worden structureel niet afgesloten, terwijl er wel sloten op de kast zitten. Apparatuur toevoegen, schijven stelen, verbindingen afluisteren of de dagelijkse operatie verstoren, horen daardoor tot de mogelijkheden (foto's).
Beheerders van andere bedrijven die klant zijn van de provider of andere legitieme bezoekers hebben toegang tot dezelfde ruimte. Gedurende ruim een maand veranderde de situatie niet en uiteindelijk ging ook Webwereld even binnen kijken.
Backup tapes en gevoelige servers
In het geval van Achmea was technisch rommelen met de infrastructuur niet eens nodig, omdat de backup tapes direct voor het grijpen liggen. Ook hebben beide bedrijven een groot assortiment met eenvoudig te verwijderen harde schijven in gebruik.
Wie wel technisch aan de slag wil heeft voldoende aan een klein computertje, zoals een Asus EeePC, die eenvoudig onder de grond te verbergen is. Veel kabels zijn zo rommelig weggewerkt dat veranderingen ook moeilijk opvallen.
Basale beveiligingsfout
Bij het UWV ligt niet alleen de technische infrastructuur bloot, maar zijn er ook allerhande gevoelige gegevens voorhanden. Zoals vier mailservers die bedoeld zijn om het personeel via het web te bedienen. Maar ook twee DNS-servers en hun firewall's. Verder zijn er systemen te vinden om informatie tussen het UWV en het Centrum voor Werk en Inkomen (CWI) uit te wisselen.
Bij Achmea Vitale is de situatie niet substantieel anders. Ook daar liggen honderden gigabytes aan opgeslagen gegevens voor het grijpen. Ook daar is het mogelijk om met het digitale inbraaksysteem (intrusion detection system) te morrelen en wordt software achtergelaten.
Amateuristisch en eenvoudig te verhelpen
"Het is onbegrijpelijk amateuristisch dat de beheerders van deze machines niet eens de moeite nemen om de deurtjes op slot te doen. Het is heel simpel: fysieke toegang is volledige toegang", briest een verontwaardigde Joran Polak van Security.nl. "Internetbeveiliging is van essentieel belang, maar dan moet ook de fysieke beveiliging in orde zijn en dat is hier duidelijk niet het geval."
"Daarnaast vraag ik me ook af wat die backup tapes daar doen, nog nooit gehoord van off-site backup?", vervolgt Polak. "Het is zeer waarschijnlijk dat iemand die de tapes meeneemt toegang tot de aanwezige gegevens heeft, om nog maar niet te spreken over wat een kwaadwillende met de machines kan doen."
Afsluiten of apart zetten
Polak heeft nog wel een advies voor de betrokken bedrijven: "Afhankelijk van de informatie op de systemen zou het verstandiger zijn om een afgesloten ruimte in het datacentrum te huren die met niemand wordt gedeeld." Dat laatste blijkt ook mogelijk te zijn in dit datacenter.
Ook 9292ov.nl verzuimde eerder kasten af te sluiten in hetzelfde datacenter, maar doet dit inmiddels wel. Volgens een woordvoerder komt dat uit eigen besef en zijn interne procedures aangescherpt. Daarbij benadrukt de woordvoerder dat zelfs informatie over reisplannen van mensen privacygevoelig is. "Dat willen we niet lekken."
Donner naar de kamer
"Als ik dit zo hoor kan ik niet voorstellen waar er zo onzorgvuldig met gegevens wordt omgesprongen", reageert SP-Kamerlid Arda Gerkens tegenover Webwereld. "Hier is dus sprake van misplaatste laksheid. Ik vraag me af of de verantwoordelijke medewerkers ook thuis zo omgaan met hun kostbare spulletjes."
Ze wijst erop dat de systemen vooral toegankelijk zijn voor mensen die er 'ook nog veel verstand van hebben'. Als het aan haar ligt komt Minister Donner van Sociale Zaken vandaag nog uitleg geven tijdens het vragenuurtje in de Kamer. "Ik wil de minister ter verantwoording roepen. Ik wil weten hoe dit kan en hoe het zit met gegevens van andere overheden en semi-overheden."
'Klantgegevens niet in gevaar'
Achmea Vitale belooft direct actie te ondernemen, na het vernemen van het euvel: "We zorgen ervoor dat het zich niet meer herhaalt", aldus een woordvoerster.
Het UWV weigert echter verantwoordelijkheid voor het open laten van de kasten en is verbaasd over het delen van de ruimtes: "We zijn geschrokken van de mogelijkheid dat niet-geautoriseerde mensen toegang kunnen krijgen tot het datacenter waar UWV gebruik van maakt", wil woordvoerder Wessel Agterhof kwijt.
"Onze klantgegevens zijn niet in gevaar geweest", bezweert Agterhof. "UWV heeft zijn partners, aan wie deze diensten zijn uitbesteed, aangesproken op de beveiliging. Deze beveiliging zal op de kortst mogelijke termijn worden aangepast om herhaling te voorkomen."